Richtlinien zum Anwenden von Dateiverzeichnisrichtlinien, die lokale Benutzer oder Gruppen auf dem SVM Disaster-Recovery-Ziel verwenden
Änderungen vorschlagen
PDFs
Es gibt bestimmte Richtlinien, die Sie beachten müssen, bevor Sie Dateiverzeichnisrichtlinien auf dem SVM-Disaster-Recovery-Ziel (Storage Virtual Machine) in einer ID-Verwerfen-Konfiguration anwenden, wenn die Konfiguration Ihrer Dateiverzeichnisrichtlinie lokale Benutzer oder Gruppen im Sicherheitsdeskriptor oder in den DACL- oder SACL-Einträgen verwendet.
Sie können eine Disaster-Recovery-Konfiguration für eine SVM konfigurieren, bei der die Quell-SVM auf dem Quellcluster die Daten und Konfigurationen von der Quell-SVM auf eine Ziel-SVM auf einem Ziel-Cluster repliziert.
Sie können einen der zwei Arten von Disaster-Recovery für SVM einrichten:
-
Identität wurde erhalten
Mit dieser Konfiguration wird die Identität der SVM und des CIFS-Servers beibehalten.
-
Identität verworfen
Mit dieser Konfiguration wird die Identität der SVM und des CIFS-Servers nicht erhalten. In diesem Szenario unterscheidet sich der Name der SVM und der CIFS-Server auf der Ziel-SVM von der SVM und dem CIFS-Servernamen auf der Quell-SVM.
Richtlinien für identitätsentworfene Konfigurationen
Bei einer Konfiguration mit einer über die Identität ausgelegten Identität muss für eine SVM-Quelle, die lokale Benutzer-, Gruppen- und Berechtigungskonfigurationen enthält, der Name der lokalen Domäne (lokaler CIFS-Servername) geändert werden, um mit dem CIFS-Servernamen auf dem SVM-Ziel überein. Wenn beispielsweise der Name der Quell-SVM „vs1“ und der Name des CIFS-Servers „CIFS1“ lautet und der Ziel-SVM-Name „vs1_dst“ und der CIFS-Servername „CIFS1_DST“ lautet, wird der lokale Domänenname für einen lokalen Benutzer mit dem Namen „CIFS1\user1“ automatisch in „CIFS1_DST\SVM“ auf dem Ziel geändert: User1 SVM „user1“ auf dem Ziel: „User“.
cluster1::> vserver cifs users-and-groups local-user show -vserver vs1_dst Vserver User Name Full Name Description ------------ ------------------------ -------------- ------------- vs1 CIFS1\Administrator Built-in administrator account vs1 CIFS1\user1 - - cluster1dst::> vserver cifs users-and-groups local-user show -vserver vs1_dst Vserver User Name Full Name Description ------------ ------------------------ -------------- ------------- vs1_dst CIFS1_DST\Administrator Built-in administrator account vs1_dst CIFS1_DST\user1 - -
Obwohl lokale Benutzer- und Gruppennamen in den lokalen Benutzer- und Gruppendatenbanken automatisch geändert werden, werden lokale Benutzer oder Gruppennamen in Dateiverzeichnisrichtlinienkonfigurationen nicht automatisch geändert (Richtlinien, die in der CLI mit der vserver security file-directory Befehlsfamilie konfiguriert werden).
Wenn Sie beispielsweise für „vs1“ einen DACL-Eintrag konfiguriert haben, in dem der -account Parameter auf „CIFS1\user1“ gesetzt ist, wird die Einstellung auf der Ziel-SVM nicht automatisch geändert, um den CIFS-Servernamen des Ziels wiederzugeben.
cluster1::> vserver security file-directory ntfs dacl show -vserver vs1
Vserver: vs1
NTFS Security Descriptor Name: sd1
Account Name Access Access Apply To
Type Rights
-------------- ------- ------- -----------
CIFS1\user1 allow full-control this-folder
cluster1::> vserver security file-directory ntfs dacl show -vserver vs1_dst
Vserver: vs1_dst
NTFS Security Descriptor Name: sd1
Account Name Access Access Apply To
Type Rights
-------------- ------- ------- -----------
**CIFS1**\user1 allow full-control this-folder
Sie müssen mit den vserver security file-directory modify Befehlen den CIFS-Servernamen manuell in den CIFS-Zielservernamen ändern.
Komponenten der Dateiverzeichnisrichtlinie, die Kontoparameter enthalten
Es gibt drei Konfigurationskomponenten für die Dateiverzeichnisrichtlinie, die Parametereinstellungen verwenden können, die lokale Benutzer oder Gruppen enthalten können:
-
Sicherheitsdeskriptor
Sie können optional den Besitzer des Sicherheitsdeskriptors und die primäre Gruppe des Besitzers des Sicherheitsdeskriptors angeben. Wenn beim Sicherheitsdeskriptor ein lokaler Benutzer oder eine lokale Gruppe für die Einträge in den Inhabern und der primären Gruppe verwendet wird, müssen Sie den Sicherheitsdeskriptor ändern, um im Kontonamen die Ziel-SVM zu verwenden. Mit dem
vserver security file-directory ntfs modifyBefehl können Sie die erforderlichen Änderungen an den Kontonamen vornehmen. -
DACL-Einträge
Jeder DACL-Eintrag muss einem Konto zugeordnet sein. Sie müssen alle DACLs ändern, die lokale Benutzer- oder Gruppenkonten verwenden, um den Ziel-SVM-Namen zu verwenden. Da Sie den Kontonamen für vorhandene DACL-Einträge nicht ändern können, müssen Sie alle DACL-Einträge mit lokalen Benutzern oder Gruppen aus den Sicherheitsdeskriptoren entfernen, neue DACL-Einträge mit den korrigierten Zielkontonamen erstellen und diese neuen DACL-Einträge mit den entsprechenden Sicherheitsdeskriptoren verknüpfen.
-
SACL-Einträge
Jeder SACL-Eintrag muss einem Konto zugeordnet sein. Sie müssen alle SACLs ändern, die lokale Benutzer- oder Gruppenkonten verwenden, um den Ziel-SVM-Namen zu verwenden. Da Sie den Kontonamen für vorhandene SACL-Einträge nicht ändern können, müssen Sie alle SACL-Einträge mit lokalen Benutzern oder Gruppen aus den Sicherheitsdeskriptoren entfernen, neue SACL-Einträge mit den korrigierten Zielkontonamen erstellen und diese neuen SACL-Einträge mit den entsprechenden Sicherheitsdeskriptoren verknüpfen.
Vor der Anwendung der Richtlinie müssen Sie alle erforderlichen Änderungen an lokalen Benutzern oder Gruppen vornehmen, die in der Konfiguration der Dateiverzeichnisrichtlinien verwendet werden. Andernfalls schlägt der Auftrag zum Anwenden fehl.